forum.opennet.ru - "Уязвимость в Bitbucket Server, приводящая к выполнению кода на сервере " (15)

"Уязвимость в Bitbucket Server, приводящая к выполнению кода на сервере "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Bitbucket Server, приводящая к выполнению кода на сервере "	+/–
Сообщение от opennews (??), 19-Ноя-22, 11:21
В Bitbucket Server, пакете для развёртывания web-интерфейса для работы с git-репозиториями, выявлена критическая уязвимость (CVE-2022-43781), позволяющая удалённому атакующему добиться выполнения кода на сервере. Уязвимость может быть эксплуатирована неутентифицированным пользователем, если на сервере разрешена самостоятельная регистрация (включена настройка "Allow public signup"). Эксплуатация также возможна аутентифицированным пользователем у которого есть права на изменение имени пользователя (т.е. есть полномочия ADMIN или SYS_ADMIN). Детали пока не приводится, известно только то, что проблема вызвана возможностью подстановки команд через переменные окружения... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58151
Ответить \| Правка \| Cообщить модератору

Оглавление

Скрыто модератором, Аноним (1), 11:21 , 19-Ноя-22, (1) –2

Скрыто модератором, Аноним (3), 11:23 , 19-Ноя-22, (3) +5

Давайте айпишники ваших серверов, я покажу как надо выполнять код , Аноним (2), 11:21 , 19-Ноя-22, (2) +1

127 0 0 1, pashev.ru (?), 11:27 , 19-Ноя-22, (4) +8

По этому адресу нет ведра битов, Аноним (7), 13:58 , 19-Ноя-22, (7) +2

https rr noordstar me mybitbucket-3c89559f, КО (?), 14:06 , 19-Ноя-22, (8) +3

рикролл я уже не в первый раз читаю про проприетарные уязвимости в битбукете, Аноним (15), 19:54 , 20-Ноя-22, (15)

Неприятно конечно, но необходимость полномочий ADMIN или SYS_ADMIN немного уме, Анонн (?), 12:34 , 19-Ноя-22, (5) –1
так это не уязвимость а дыра, Бывалый смузихлёб (?), 13:31 , 19-Ноя-22, (6) –1
Поэтому подобный софт надо вращать на бсд, лучше на опенке или стрекозе Эксплой, Аномин (?), 15:55 , 19-Ноя-22, (9) –1

На линуксе сейчас вообще что-то вращать - это как пьяной 18 летней дивчине крути, Аноним (-), 17:18 , 19-Ноя-22, (10) –3
Вращай на гайке Неуловимый джо, Аноним42 (?), 20:49 , 19-Ноя-22, (11) +1
Вращали бы, да софта под бсд раз, два и обчёлся Индустрия сделала свой выбор , Аноним (13), 22:03 , 19-Ноя-22, (13) +2

Т е в опасности только 3 189 унылых энтерпрайз-клиента, у которых всё в ланчи, Аноним (13), 21:59 , 19-Ноя-22, (12)
Казалось бы, где поле ввода имени пользователя на сайте, а где переменные окруже, Аноним (16), 21:46 , 23-Ноя-22, (16)

Сообщения [Сортировка по времени | RSS]

1. Скрыто модератором –2 +/–

Сообщение от Аноним (1), 19-Ноя-22, 11:21

А на расте такой херни не было...

Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором +5 +/–

Сообщение от Аноним (3), 19-Ноя-22, 11:23

потому шта полковнику никто не пишет, особенно на нём

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." +1 +/–

Сообщение от Аноним (2), 19-Ноя-22, 11:21

Давайте айпишники ваших серверов, я покажу как надо выполнять код.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." +8 +/–

Сообщение от pashev.ru (?), 19-Ноя-22, 11:27

127.0.0.1

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." +2 +/–

Сообщение от Аноним (7), 19-Ноя-22, 13:58

По этому адресу нет ведра битов

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." +3 +/–

Сообщение от КО (?), 19-Ноя-22, 14:06

https://rr.noordstar.me/mybitbucket-3c89559f

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

15. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." +/–

Сообщение от Аноним (15), 20-Ноя-22, 19:54

рикролл.
я уже не в первый раз читаю про проприетарные уязвимости в битбукете

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." –1 +/–

Сообщение от Анонн (?), 19-Ноя-22, 12:34

Неприятно конечно, но необходимость полномочий "ADMIN или SYS_ADMIN" немного уменьшают вероятность взлома.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." –1 +/–

Сообщение от Бывалый смузихлёб (?), 19-Ноя-22, 13:31

> Уязвимость не проявляется в облачном сервисе bitbucket.org
так это не уязвимость а дыра

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." –1 +/–

Сообщение от Аномин (?), 19-Ноя-22, 15:55

Поэтому подобный софт надо вращать на бсд, лучше на опенке или стрекозе. Эксплойты на них работать не будут.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." –3 +/–

Сообщение от Аноним (-), 19-Ноя-22, 17:18

На линуксе сейчас вообще что-то вращать - это как пьяной 18 летней дивчине крутить филейной частью над домом культуры вечером. Бери, не хочу...

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." +1 +/–

Сообщение от Аноним42 (?), 19-Ноя-22, 20:49

Вращай на гайке! Неуловимый джо

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." +2 +/–

Сообщение от Аноним (13), 19-Ноя-22, 22:03

Вращали бы, да софта под бсд раз, два и обчёлся. Индустрия сделала свой выбор.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

12. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." +/–

Сообщение от Аноним (13), 19-Ноя-22, 21:59

> затрагивает только продукты для установки на своих мощностях
Т.е. в опасности только 3½ унылых энтерпрайз-клиента, у которых всё в ланчике с айпишничками на десяточку за натами и фаерволлами, и доступом только через vpn, даже из интранета. Ой-вей.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..." +/–

Сообщение от Аноним (16), 23-Ноя-22, 21:46

Казалось бы, где поле ввода имени пользователя на сайте, а где переменные окружения. Но они смогли это.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Скрыто модератором	–2 +/–
Сообщение от Аноним (1), 19-Ноя-22, 11:21
А на расте такой херни не было...
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. Скрыто модератором	+5 +/–
	Сообщение от Аноним (3), 19-Ноя-22, 11:23
	потому шта полковнику никто не пишет, особенно на нём
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	+1 +/–
Сообщение от Аноним (2), 19-Ноя-22, 11:21
Давайте айпишники ваших серверов, я покажу как надо выполнять код.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	+8 +/–
	Сообщение от pashev.ru (?), 19-Ноя-22, 11:27
	127.0.0.1
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	+2 +/–
	Сообщение от Аноним (7), 19-Ноя-22, 13:58
	По этому адресу нет ведра битов
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	+3 +/–
	Сообщение от КО (?), 19-Ноя-22, 14:06
	https://rr.noordstar.me/mybitbucket-3c89559f
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	15. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	+/–
	Сообщение от Аноним (15), 20-Ноя-22, 19:54
	рикролл. я уже не в первый раз читаю про проприетарные уязвимости в битбукете
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	–1 +/–
Сообщение от Анонн (?), 19-Ноя-22, 12:34
Неприятно конечно, но необходимость полномочий "ADMIN или SYS_ADMIN" немного уменьшают вероятность взлома.
Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	–1 +/–
Сообщение от Бывалый смузихлёб (?), 19-Ноя-22, 13:31
> Уязвимость не проявляется в облачном сервисе bitbucket.org так это не уязвимость а дыра
Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	–1 +/–
Сообщение от Аномин (?), 19-Ноя-22, 15:55
Поэтому подобный софт надо вращать на бсд, лучше на опенке или стрекозе. Эксплойты на них работать не будут.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	–3 +/–
	Сообщение от Аноним (-), 19-Ноя-22, 17:18
	На линуксе сейчас вообще что-то вращать - это как пьяной 18 летней дивчине крутить филейной частью над домом культуры вечером. Бери, не хочу...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	+1 +/–
	Сообщение от Аноним42 (?), 19-Ноя-22, 20:49
	Вращай на гайке! Неуловимый джо
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	13. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	+2 +/–
	Сообщение от Аноним (13), 19-Ноя-22, 22:03
	Вращали бы, да софта под бсд раз, два и обчёлся. Индустрия сделала свой выбор.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору

12. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	+/–
Сообщение от Аноним (13), 19-Ноя-22, 21:59
> затрагивает только продукты для установки на своих мощностях Т.е. в опасности только 3½ унылых энтерпрайз-клиента, у которых всё в ланчике с айпишничками на десяточку за натами и фаерволлами, и доступом только через vpn, даже из интранета. Ой-вей.
Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."	+/–
Сообщение от Аноним (16), 23-Ноя-22, 21:46
Казалось бы, где поле ввода имени пользователя на сайте, а где переменные окружения. Но они смогли это.
Ответить \| Правка \| Наверх \| Cообщить модератору